hilfe, ich bin so ahnungslos

[benbent]

ihr seid bestimmt schon genervt von usern wie mir, aber da müsst ihr jetzt durch.

ich bin weniger stolzer besitzer eines rootDS und wie es scheint wurde er kompromitiert.

der server ist jetzt down, aber sobald er saft bekommt gehen rund 500mb traffic je stunde raus.
ich kann nciht mal sagen wohin geschweigeden welche daten das seien könnten.

ich habe eigentlich im moment keine relevante website die überhaupt nur einen einzigen besucher hätte.
die logs sind alle gelöscht, steht absolut nichts drinne.

nun hat mein anbieter -keyweb- einen 3 oder sogar 4 jahre altes -fedora core2- installiert und ich bin schon an die decke gesprungen als ich gelesen habe, dass es seit 2005 kein update mehr erfahren hat.

ich bin zwar nicht unwissend was scriptsprachen angeht, aber über die sicheheit des servers ist mir kaum etwas bekannt.
bei -keyweb- sitzen wohl die grössten nulpen aller zeiten, die mir empfehlen meinen remotedesktop zu deaktivieren und meine win-firewall zu aktivieren damit sowas nicht mehr vorkommt.
bin schon dabei den provider zu wechseln, aber intresse welche ideen euch durch den kopf schiessen wenn ihr sowas hört würde mich intressieren.

vor einigen monaten hatte ich das selbe problem.
nur waren damals deutsche filme auf einem unterverzeichniss des httpdocs abgelegt worden und wurden fleissig geshart.

gibt es denn eine möglichkeit den traffic anzeigen zu lassen ?

ich muss zugeben, dass auch einen sonntag lang gegoogel nicht viel geholfen hat. ich weiss nicht wie und wo ich anfangen soll nach dem übeltäter zu fahnden.
chkrootkit bekomme ich nicht zum laufen ... fehlt wohl der compiler soweit ich verstanden habe.
und ansonsten bin ich hilflos den scriptkiddys ausgeliefert.
naja, der server ist down und wird auch kaum genutzt ... höchstens als hobby um hier und wann mal das web mitzuverunstallten xD

aber was mache ich jetzt ???
wehe jemand spricht vom remotedesktop !!!!!!!!!!!!!!1111 :evil:


hilfe, hilfe, hilfe ...

[sledge0303]

Auweia...
Erstmal schau nach ob du den Server im 'Rescuemodus' hochgefahren bekommst, so kann erstmal niemand mehr über die Kiste spam vertreiben oder die neusten Kinofile sharen.
Danach suchst dir im Freundes-/Bekanntenkreis jemanden der Ahnung von Linux hat und dir die Kiste erstmal sicher einrichtet. Hast du niemanden,

Code: Select all

shutdown -h now

Anschließend schaust bei deinem Anbieter ob du evtl. die Kiste noch loswerden kannst (Kündigung) und installierst zu Hause erstmal Linux auf einer VMWare Umgebung. Da kannst für die Umwelt gefahrlos üben und wenn alles kannst, dich nochmal an den Rootserver wagen.
Ein Update der Festplatte nicht vergessen um evtl. Beweismittel zu sichern. Du haftest für alles was bisher über die Theke gewandert ist, egal ob Warez, Filme oder schlimmstenfalls Kinderpornos...

[benbent]

der shutdown ist schon geschehen.

ich soll die gesamte festplatte also sichern ??
das mach ich mal promt ...

ty

ne möglichkeit nachzuvollziehen was für traffic rausgeht kennst du nciht zufällig ??

[sledge0303]

Schau mal in das Angebot deines Servers. Evtl. bieten sie Monitoring mit an, hab mir gerade mal deren Homepage angesehen.

[Joe User]

Wie sledge bereits schrieb: Festplatteninhalt per Rescuesystem sichern und anschliessend die Kiste wieder vom Netz nehmen und kündigen. Solltest Du für Deine "Verunstaltungen" wirklich die Leistung eines RootServers benötigen, dann miete Dir bitte einen Managed-Server. Managed-Server werden vom Anbieter administriert und up2date gehalten, so dass Du Dich wie bei einem Webhosting-Paket nur noch um Deine "Verunstaltungen" kümmern musst. Solltest Du hingegen nicht die Leistung eines RootServers benötigen, dann greife bitte auf ein Webhosting-Paket zurück, dafür gibt es sie schliesslich.
Wenn Du den Umgang mit Linux lernen möchtest, dann installiere Dir bitte VMWare (Workstation/Player) auf Deinem PC und lerne dort, danke.

[benbent]

ihr seid mir ja welche :P

tut mir ja leid das ich euch wiedersprechen muss, aber mein wissen über rootserver muss doch nicht soweit gehen das ich mir über die sicherheit gedanken machen müsste.
jedenfalls nciht in diesem fall.
der server wurde vor 3 oder 4 monaten neu eingerichtet und seit etwa 9 oder 10 monaten bin ich kunde bei -keyweb-.
ich gehe einfach mal davon aus das niemand ohne entsprechende berechtigung durch simples klicken seiner tastatur zugriff auf meinen server erlangen dürfte.
ich finde es einfach ein unding das sobald der server neu aufgesetzt wurde ohne nennenswerte verzögerung wieder jemand mit meinem server spielt als wär es sein eigener.
wenn jemand nach 5 monaten per brute force mein passwort erraten hätte würde ich mir einen vorwurf machen, aber sonst doch kaum.
diese sicherheitslücken sind meiner meinung nach dem provider zuzuschreiben und nicht mir.


der rootserver bietet einfach programiertechnische vorzüge.
zb einer erweiterung von php oder einer neuen gdi lib. usw.

aber das der provider mir mit vorschlägen kommt wie:
RD deaktivieren und win-FW aktivieren finde ich sehr bedenklich.
besonders scheint es sie kaum zu stören das 500mb traffic je stunde rausgehen ...

was haltet ihr von -fedora core2- ?
ich habe stunden über stunden gegoogelt mir ist aber nichts ins auge gefallen was schwere sicheheitslücken betrifft.

ich war bestimmt 3 oder 4 jahre bei 1und1 und hatte solche probleme nie.
... ich glaube ich beisse in den sauren apfel und lasse meinen vertrag bei -keyweb- auslaufen und switche zurück zu suse einer aktuellen version und einen provider mit mitarbeitern vom fach, oder ?

[Anonymous]

ihr seid bestimmt schon genervt von usern wie mir, aber da müsst ihr jetzt durch.

Ich glaube eher, dass du da durch musst

Ich würde in deinem Fall folgendes machen:

1. Provider wechseln
2. Provider wechseln
3. Provider wechseln

Gruß
Olaf

[Joe User]

Sorry, aber bei einem RootServer bist Du der Administrator (root) und daher auch selbst für alle sicherheitsrelevanten Aufgaben zuständig. Darunter fallen auch sämtliche Updates, sei es die vollständige Distribution (FC2->FC7) oder "nur" einzelne Pakete (PHP-4.2.2->PHP-5.2.3). Dein Anbieter vermietet Dir lediglich die Hardware, die Vorinstallation einer Distribution ist nur eine unnötige Zeitverschwendung und diehnt lediglich als Lockmittel/Marketing-Bla-Bla für potentielle Kunden.

Du bist root! Du bist für Alles verantwortlich, nicht Dein Anbieter!

[kase]

der server wurde vor 3 oder 4 monaten neu eingerichtet und seit etwa 9 oder 10 monaten bin ich kunde bei -keyweb-.
ich gehe einfach mal davon aus das niemand ohne entsprechende berechtigung durch simples klicken seiner tastatur zugriff auf meinen server erlangen dürfte.

Hallo,

Neuinstallationen von Provider XY beruhen meistens auf sehr alten Images. Dh, nach einer Neuinstallation ist dein Rootserver sogar BESONDERS anfällig gegen Hacker, weil unter Umständen sehr viele Dienste Sicherheitslöcher haben.

Für genau diese Sicherheits-Updates bist DU verantwortlich, und nicht dein Provider.

Wenn du möchtest, dass dein Provider sich um die Sicherheit kümmert, dann gibt es dafür auch Angebote, nennt sich Managed-Server. Ein paar Euro teurer, aber dafür bekommt man auch viel Administrationsaufwand abgenommen.

[blattlaus]

ihr seid mir ja welche :P

Und du bist erst einer :roll:

mein wissen über rootserver muss doch nicht soweit gehen das ich mir über die sicherheit gedanken machen müsste.
jedenfalls nciht in diesem fall.

Haha...natürlich musst du. Das ist dein Server. Du hast ihn gemietet und du hast dich darum zu kümmern. DU nicht dein Anbieter. Der Vermietet dir bloß die HARDWARE.

ich gehe einfach mal davon aus das niemand ohne entsprechende berechtigung durch simples klicken seiner tastatur zugriff auf meinen server erlangen dürfte.?

Bei deiner Einstellung und der nicht vorhandenen Ahnung: Doch, so ist es.

diese sicherheitslücken sind meiner meinung nach dem provider zuzuschreiben und nicht mir.

Deine Meinung ist falsch.

besonders scheint es sie kaum zu stören das 500mb traffic je stunde rausgehen ...

Natürlich nicht. Zum einen ist es nicht das Problem des Anbieters. Zum anderen verdienen die durch deinen Traffic Geld...die haben garkein Interesse daran, dass du wenig verbraucht. Und zum anderen sind 500MB in der Stunde nicht unbedingt viel.

ich war bestimmt 3 oder 4 jahre bei 1und1 und hatte solche probleme nie.
... ich glaube ich beisse in den sauren apfel und lasse meinen vertrag bei -keyweb- auslaufen und switche zurück zu suse einer aktuellen version und einen provider mit mitarbeitern vom fach, oder ?

Ja, Mitarbeiter vom Fach. Super Idee :roll:
Hergott, kapier es endlich: DAS IST DEINE VERANTWORTUNG!

--

Bei solchen Leuten wie dir Platz mir echt die Hutschnur...das ist ja nicht auszuhalten.

[flo]

ich mach den Thread jetzt zu - das ist jetzt nur noch Wiederkäuen und ich bezweifle, daß das noch ankommt, befürchte eher, daß es persönlich wird und/oder noch mehr über den Provider geschimpft wird.

@benbent: Selbst als Privatperson ist Dein Handeln ab Deiner Kenntnis über den Sachverhalt grob fahrlässig, die AGB mal ganz außen vor gelassen - nimm den Rechner vom Netz.